Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Attacco all’università di Pisa. Studenti e personale, cambiate le password e aumentate l’attenzione.

Nella giornata di domani, secondo le dichiarazioni dell’operazione RaaS ALPHV/Blackat, i dati esfiltrati dalle infrastrutture IT dell’università di Pisa, verranno rese pubbliche sul darkweb.

Sono passati 3 giorni da quando la gang ha aggiornato il proprio data leak site (DLS) riportando che se l’Ateneo toscano non si fosse fatto vivo, i dati sarebbero stati pubblicati e quindi sarebbero liberamente consultabili sulla rete onion.

Ricordiamo a tutti che l’accesso alla rete onion e al download dei dati sul data leak site di ALPHV/Blackat (attraverso TOR Browser) non richiede alte capacità informatiche o doti particolari. Infatti, chiunque può farlo con due ricerche su Google e 4 click e senza alcuna autenticazione.

Dalle principali anticipazioni dei samples emesse dalla gang, una tra queste ci è sembrata particolarmente “delicata”. Si trattava di una schermata di una tabella di un database (presumibilmente Microsoft SQL server), dove venivano riportati i record degli utenti con le password in chiaro e nei successivi samples erano presenti delle directory che facevano comprendere che un intero database erano stato sottratto dalla gang.

Advertisements
Un samples che riporta la directory standard di installazione di SQL server

Probabilmente tali dati presenti nella tabella erano afferenti ad un database interno che contiene informazioni relative ai profili di accesso degli studenti dell’Ateneo e risultavano in chiaro. Generalmente le password vengono archiviate all’interno delle base dati utilizzando algoritmi di hash di nuova generazione, che ne rendono difficile la loro identificazione.

Anche se alcuni stanno dicendo che si tratta di dati vecchi e stanno minimizzando la questione (in effetti le date di nascita presenti nella lista dei dati personali erano afferenti a persone di minimo 33 anni), ancora non possiamo comprendere gli impatti che ne potranno conseguire una volta che tali dati saranno riversati nelle underground, quindi vale il regime di “massima allerta”.

Inoltre, come spesso riportiamo su RHC, ogni dato riversato nelle underground è un dato perso per sempre e utilizzabile per correlazioni di altra natura.

Nel mentre, anche se non sappiamo di quale sistema si tratta e se tali password siano vecchie o riutilizzate in altri sistemi dell’Ateneo, consigliamo a tutti gli studenti dell’università di eseguire un cambio password massivo di tutti i loro account, compresa la posta elettronica.

Advertisements

Vi consigliamo anche di eseguire una scansione preventiva del vostro device/computer con il vostro antivirus prima di effettuare il cambio password, per scongiurare la presenza di eventuali botnet e infostealer (vedi redline) che possono rubare l’accesso riversandolo nuovamente nelle underground.

Inoltre, anche gli studenti che hanno completato il percorso di studi potrebbero essere impattati da tale perdita di dati, quindi tale consiglio in via precauzionale lo diamo a tutti, compreso il personale dell’ateneo mentre attendiamo un comunicato ufficiale da parte dell’università.

Tali dati infatti potrebbero essere utilizzati per accedere in modo abusivo ai sistemi sui quali siete profilati oltre ad avviare attività di social engineering nei confronti di studenti e personale dell’ateneo.

Concludendo, prestate massima attenzione alle mail di phishing che potrete ricevere a valle della pubblicazione dei dati e aumentate al massimo il livello di attenzione.

Advertisements

Se volete raccontarci qualsiasi esperienza intorno a questa vicenda, potete scrivere alla redazione di RHC.